POC详情: 8c6a45fe7cc32ef12bfcfa094384381fb62d7f0a

来源
关联漏洞
标题: Apache Tomcat 输入验证错误漏洞 (CVE-2024-24549)
描述:Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。 Apache Tomcat存在输入验证错误漏洞,该漏洞源于HTTP/2请求的输入验证不正确,会导致拒绝服务。
描述
Proof of concept of the CVE-2024-24549, Exploit in Python. 
介绍
# Apache Tomcat DoS Exploit (CVE-2024-24549)

## Descripción

Este repositorio contiene un exploit de prueba de concepto (PoC) para un ataque de denegación de servicio (DoS) contra **Apache Tomcat versión 9.0.83**, basado en un problema identificado en el manejo de encabezados HTTP y cargas útiles. Este script genera solicitudes HTTP maliciosas utilizando múltiples hilos para provocar la sobrecarga del servidor objetivo.

> **Nota**: Este exploit es únicamente para fines educativos y de investigación. No debe utilizarse para atacar sistemas sin la autorización expresa del propietario.

## Características

- **Soporte de múltiples hilos**: Envío concurrente de solicitudes maliciosas para maximizar el impacto.
- **Configuración personalizable**: Permite ajustar el número de solicitudes, hilos concurrentes, intervalo entre solicitudes y más.
- **Registro de actividad**: Guarda detalles de cada solicitud enviada en un archivo de registro.
- **Payload dinámico**: Genera encabezados HTTP y cuerpos de solicitudes aleatorios para evitar patrones predecibles.

## Uso

### Requisitos previos

- **Python 3.8+**
- Biblioteca estándar de Python (no requiere instalación adicional).

### Instalación

1. Clona este repositorio:
   ```bash
   git clone https://github.com/JFOZ1010/CVE-2024-24549.git
   cd CVE-2024-24549
   ```
2. Ejecucion: (Ejecuta el script con los siguientes argumentos):
   ```
    python3 exploit.py --host <IP_DEL_OBJETIVO> --port <PUERTO> --num-requests <NUM_SOLICITUDES> --concurrent-threads <HILOS> --request-interval <INTERVALO>
   ```
Parámetros:

    --host: Dirección del servidor objetivo (por defecto: localhost).
    --port: Puerto del servidor objetivo (por defecto: 8080).
    --num-requests: Número total de solicitudes a enviar (por defecto: 1000).
    --concurrent-threads: Número de hilos concurrentes (por defecto: 10).
    --request-interval: Intervalo entre solicitudes en segundos (por defecto: 0.5).
    --log-file: Nombre del archivo de registro (por defecto: requests.log).
文件快照

[4.0K] /data/pocs/8c6a45fe7cc32ef12bfcfa094384381fb62d7f0a ├── [4.4K] exploit-cve2024-24549.py ├── [2.0K] README.md └── [5.0M] requests.log 0 directories, 3 files
神龙机器人已为您缓存
备注
    1. 建议优先通过来源进行访问。
    2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
    3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。